在茫茫的互聯網上，隨時都在發(fā)生著攻擊，也許在你看這篇文章時，你的電腦正在被別人掃描，口令正在被別人破譯，這一切看似無聲的戰(zhàn)爭讓人防不勝防。作為企業(yè)終端用戶，有必要了解網絡攻擊者常用的手段，對于本地網絡和終端防護來說很有必要。下面就講解一下網絡中黑客常用的攻擊方法。
　　一、DoS攻擊
　　這可不是用DoS操作系統(tǒng)攻擊，其全稱為DenialofService——拒絕服務。它通過協議方式，或抓住系統(tǒng)漏洞，集中對目標進行網絡攻擊，直到對方網絡癱瘓，大家常聽說的洪水攻擊，瘋狂Ping攻擊都屬于此類。由于這種攻擊技術門檻較低，并且效果明顯，防范起來比較棘手，所以其一度成為準黑客們的必殺武器，進而出現的DDoS(DistubutedDenialofService分布式拒絕服務)攻擊，更是讓網絡安全管理員感到頭痛。
　　可別小看這種攻擊，雖然DoS攻擊原理極為簡單，早已為人們所熟知。但目前全球每周所遭遇的DoS攻擊依然達到4000多次，正是因為簡單、頑固的原因，讓DoS攻擊如野草般燒之不盡，DoS攻擊最早可追述到1996年，在2000年發(fā)展到極致，這期間不知有多少知名網站遭受到它的騷擾。
　　對于國內網絡來說，DoS攻擊更是能體現“黑客”們的價值，他們組成了一列列僵尸網絡，多線程攻擊目標主機，一切看起來似乎很簡單，但對于服務器來說確實難以應對。
　　那企業(yè)管理員該如何呢?在應對常見的DoS攻擊時，路由器本身的配置信息非常重要，管理員可以通過以下方法，來防止不同類型的DoS攻擊。
　　擴展訪問列表是防止DoS攻擊的有效工具，其中ShowIPaccess-list命令可以顯示匹配數據包，數據包的類型反映了DoS攻擊的種類，由于DoS攻擊大多是利用了TCP協議的弱點，所以網絡中如果出現大量建立TCP連接的請求，說明洪水攻擊來了。此時管理員可以適時的改變訪問列表的配置內容，從而達到阻止攻擊源的目的。
　　如果用戶的路由器具備TCP攔截功能，也能抵制DoS攻擊。在對方發(fā)送數據流時可以很好的監(jiān)控和攔截，如果數據包合法，允許實現正常通信，否則，路由器將顯示超時限制，以防止自身的資源被耗盡，說到底，利用設備規(guī)則來合理的屏蔽持續(xù)的、高頻度的數據沖擊是防止DoS攻擊的根本。
　　二、ARP攻擊
　　網絡提示連接出現故障，IP沖突，無法打開網頁，頻繁彈出錯誤對話框。如果你的PC有以上的表現，那就要考慮是否遭到ARP攻擊了。
　　ARP欺騙是通過MAC翻譯錯誤造成計算機內的身份識別沖突，它和DOS一樣，目前沒有特別系統(tǒng)的解決方案，但有一些值得探討的技術技巧。
　　一般我們采取安裝防火墻來查找攻擊元兇，利用ARPdetect可以直接找到攻擊者以及可能參與攻擊的對象。ARPdetect默認啟動后會自動識別網絡參數，當然用戶還是有必要進行深入設置。首先要選擇好參與內網連接的網卡，這點非常重要，因為以后所有的嗅探工作都是基于選擇的網卡進行的。然后檢查IP地址、網關等參數。
　　需要提醒用戶的是，檢測范圍根據網絡內IP分布情況來設置，如果IP段不清楚，可以通過CMD下的ipconfig來查看網關和本機地址。不要加入過多無效IP，否則影響后期掃描工作。不過遺憾的是，這種方法在很多ARP病毒攻擊的情況下并不樂觀。首先我們需要管理員多做一些工作，尤其是路由器上的IP地址綁定，并且隨時查看網絡當前狀態(tài)是否存在IP偽裝終端，先確實找到攻擊源并采取隔離措施。
　　ARP攻擊一旦在局域網開始蔓延，就會出現一系列的不良反應。sniffer是網絡管理的好工具，網絡中傳輸的所有數據包都可以通過sniffer來檢測。同樣arp欺騙數據包也逃不出sniffer的監(jiān)測范圍。通過嗅探→定位→隔離→封堵幾個步驟，可以很好的排除大部分ARP攻擊。
　　三、腳本攻擊
　　大家都聽過SQL注入攻擊吧，所謂SQL注入就是利用現有應用程序，將(惡意)的SQL命令注入到后臺數據庫引擎執(zhí)行的能力，這種攻擊腳本最直接，也最簡單，當然，腳本攻擊更多的是建立在對方漏洞的基礎上，它比DOS和ARP攻擊的門檻更高。
　　隨著交互式網頁的應用，越來越多的開發(fā)者在研究編寫交互代碼時，漏掉了一些關鍵字，同時也會造成一部分程序沖突。這里包括Cookie欺騙、特殊關鍵字未過濾等等。導致了攻擊者可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得一些他想得到的數據。SQL注入利用的是正常的HTTP服務端口，表面上看來和正常的web訪問沒有區(qū)別，隱蔽性極強，不易被發(fā)現。
　　雖然這項技術稍顯落后，國內也是在幾年前才開始興起，但涉及到其覆蓋面廣，出現問題的幾率大，造成很多網站都不行中招，甚至導致服務器被攻陷。
　　SQL注入攻擊的特點就是變種極多，有經驗的攻擊者會手動調整攻擊參數，致使攻擊數據的變種是不可枚舉的，這導致傳統(tǒng)的特征匹配檢測方法僅能識別相當少的攻擊，難以防范。因為采取了參數返回錯誤的思路，造成很多方式都可以給攻擊者提示信息，所以系統(tǒng)防范起來還是很困難，現在比較好的辦法是通過靜態(tài)頁面生成方式，將終端頁面呈現在用戶面前，防止對方隨意添加訪問參數。
　　四、嗅探掃描
　　常在網上漂，肯定被掃描。網絡掃描無處不在，也許你覺得自己長期安然無事，那是因為你的終端不夠長期穩(wěn)定的聯在網上。對于服務器來說，被掃描可謂是危險的開始。這里面又以Sniffer為主。如何發(fā)現和防止Sniffer嗅探器呢?
　　通過一些網絡軟件，可以看到信息包傳送情況，向ping這樣的命令會告訴你掉了百分幾的包。如果網絡中有人在監(jiān)聽掃描，那么信息包傳送將無法每次都順暢的流到目的地，這是由于sniffer攔截每個包導致的。
　　通過某些帶寬控制器，比如防火墻，可以實時看到目前網絡帶寬的分布情況，如果某臺機器長時間的占用了較大的帶寬，這臺終端就有可能在監(jiān)聽。
　　另一個比較容易接受的是使用安全拓撲結構。這聽上去很簡單，但實現起來花銷是很大的。這樣的拓撲結構需要有這樣的規(guī)則：一個網絡段必須有足夠的理由才能信任另一網絡段。網絡段應該考慮你的數據之間的信任關系上來設計，而不是硬件需要。
　　在網絡上，各種攻擊層出不窮，但對于終端來說，防范管理都要注意以下幾個方面：
　　1.要做好路由器的保護，它是攻擊成敗的轉折點
　　2.不要以為自己的口令很復雜，獲取口令不僅僅是靠猜解
　　3.終端的端口和服務是控制危險的平衡閘
　　4.注意系統(tǒng)的升級
　　5.帶寬要足夠，并且穩(wěn)定，如果資金允許，配備強大的硬件防火墻